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Abstract 



Method and apparatus for preventing inadmissible deviations from the runtime protocol of an application in a 
data exchange system. The data exchange system has, for example, a terminal T and a chip card K. For 
various applications (for example, automatic teller unit, computer access), basic functions B stored in the 
chip card K are processed in a sequence respectively defined in a protocol. Since the basic functions B are 
called in proceeding from the terminal T, the data integrity could be deteriorated by intentional modifications 
of the protocol sequence at the terminal T. By storing the allowable protocols in a control list STL and 
establishing a status memory area ZS on the chip card K, it becomes possible to monitor the protocol 
execution on the chip card K independently of the terminal T. The respective status Z of an application is 
fixed in the status memory area ZS. All basic function designations Bn permitted for a status Z are deposited 
in the control list STL. 
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Beschroibung 

i 

Tragbare Dat ntrag r sind magnetische, optisch 
Oder sonstige physikalische Sp ich reigenschaft n 
nutzende Objekte. Wenn diesen Date ntrag ern Intelli- 
gent in Form eines Mikroprozessors zugeordnet 1st, 
sind diese Date ntrag er besonders vielseitig verwend- 
bar und erfullen hochste Anforderungen an die Da- 
tensicherheit Am meisten verbreitet sind diese intel- 
ligenten Datentriger in Form von Chipkarten. 

Die Chipkarte ist vielseitig anwendbar, beispiels- 
weise als bargeldtoses Zahlungsmittel, als Personal- 
oder Versicherungsausweis, als Schlussel zum Zu- 
gang zu Rechnern und fur alle sonstigen Anwendun- 
gen, bei denen die eindeutige Identrfizierung eines 
Anwenders notwendig ist Oder die Berechtigung ei- 
nes Anwenders eine bestimmte Anwendung auszu- 
fuhren, nachgewiesen werden muB. Ist eine einzige 
Chipkarte fur mehrere solche Anwendungen ver- 
wendbar, so spricht man von einer mult'rfunktionalen 
Chipkarte. Auf Grund ihres physikalischen Aufbaus - 
neben dem Prozessor sind auf dem Chip ein masken- 
programmierbarer ROM-Speicherbereich, ein als Ar- 
beitsspeicher dienender schneller RAM-Speicherbe- 
reich und ein nichtfluchtiger, programmierbarerSpei- 
cherbereich (EEPROM-Speicherbereich) unterge- 
bracht- konnen die Chipkarten vom Kartenherausge- 
ber durch entsprechende Programmierung des 
EEPROM-Speicherbereichs fur viele Anwendungen 
programmiert werden. Bei jeder Anwendung mussen 
gemaB einem vorgegebenen Protokoll einige der im 
ROM-Speicherbereich abgelegten Basisfunktionen 
auf der Chipkarte abgearbeitet werden. 

Aus EP-A-0 190 733 ist eine Chipkarte bekannt, 
der Kommandos zugefuhrt werden, die Basisfunktio- 
nen bezeichnen. Die, Basisfunktionen sind in der 
Chipkarte gespeichert und werden dort in der Rei- 
henfolge abgearbeitet, in der sie aufgerufen werden. 

Im EEPROM-Speicherbereich ist fur jede Anwen- 
dung ein Anwendungsdatenfeld eingerichtet Auf in ei- 
nem sotchen Feld eingetragene Daten kann eine Ba- 
sisfunktion nur zugreifen, wenn diese Anwendung 
vorher aufgerufen wurde. Im Anwendungsdatenfeld 
konnen Daten mit unterschiedlichen Zugriffsbedin- 
gungen abgelegtsein. Es kann beispielsweise festge- 
legtsein, daB Daten nurdann gelesen oderverindert 
werden konnen, wenn sich der Chipkartenbenutzer 
durch eine PIN-Nummer (person! iche Identifikations- 
nummer) zu erkennen gibt 

Die Informationen, welche Anwendung vorliegt, 
welche Basisfunktion abgearbeitet werden soli, und 
die zur Berechtigungsprufung erforder lichen Infor- 
mationen er halt die Chipkarte durch Datenaustausch 
mit einem Terminal. Mit diesem T rminal ist die Chip- 
karte direkt durch el ktrische Kontakte od r indir kt 
uber optisch oder tnduktiv Kopp I inrichtung n 
verbunden. Vom Terminal aus konnen also Basis- 
funktionen zur Abarbeitung auf der Chipkart aufge- 



rufen werden. Die Reihenfolge, in der dies Basis- 
funktion n aufg rufen werden, wird d mnach v m 
T rminal bestimmt Da es aus sicherheitst chnisch n 
Grunden erforder I ich ist, die Basisfunkti n n in einer 

5 bestimmten Reihenfolge abzuarbeiten, besteht durch 
eine m5gliche Manipulation am Terminal, durch die 
die Ablaufreihenfolge vera n der t werden konnte, oder 
durch die bestimmte Basisfunktionen ausgelassen 
werden kSnnten, ein Sicherheitsrisiko. 

10 Der Erf indung liegt die Aufgabe zugrunde, bei ei- 
nem Datenaustauschsystem der eingangs genannten 
Art das sicherheitstechnische Risiko der unzulissi- 
gen, durch Manipulation am Terminal herbeigefuhr- 
ten Veranderung eines Ablaufprotokolls einer Anwen- 

15 dung auszuschalten. 

Diese Aufgabe wird erfindungsgemiB durch die 
in Patentanspruche 1 und 21 angegebenen Merkma- 
legelost 

Durch die Speicherung der zulassigen Protokoll- 
20 ablaufe auf dem Datentriger selbst und der erfin- 
dungsgemi&eri Nutzung dieser Speicherung im Zu- 
sammenwirken mit dem Zustandsspeicherbereich, 
wird die Sicherheit des Datenaustausch systems zu- 
satzlich erhohL Der Datentriger selbst kann Manipu- 
25 lationen am Terminal erkennen und geeignete Ge- 
genma&nahmen einleiten. Zudem kann das erfin- 
, dungsgemaBe Verfahren fur beliebige Anwendungen 
eingesetzt werden. 

Besondere Ausgestaltungen und Weiterbildun- 
30 gen des erfindungsgemi&en Verfahrens und einer 
Vorrichtung zur Durchfuhrung des Verfahrens sind in 
den Unteranspruchen angegeben. 

Im folgenden wird ein Ausfuhrungsbeispiel der 
Erf indung anhand der Zeichnungen niher erliutert 
35 Dabei zeigen 

FIG 1 eine Datenaustauschvorrichtung zur 
Durchfuhrung des erfindungsgemiSen Verfah- 
rens, 

FIG 2 ein Ablaufdiagramm einer Anwendung, 
40 FIG 3 eine Nachfolgertabelle zum Ablaufdia- 

gramm, 

FIG 4 Auszuge aus einer Steuerliste zum Ablauf- 
diagramm und 

FIG 5 einen Zustandsspeicherbereich des Daten- 

45 trigers. 

FIG 1 zeigt ein Datenaustauschsystem, bestehend 
aus einem vorzugsweise als Chipkarte K ausgebildeten 
Datentriger und einem Terminal T. Das Terminal T ist 
ein mrt einer Schnittstelle zum Datenaustausch mit einer 

so Chipkarte K ausgestattetes Datenein-Zausgabegrit ei- 
ner Datenverarbeitungsanlage, beispielsweise ein 
Geldautomat, ein Kontoauszugdrucker, eine Perso- 
nenidentifizierungse inrichtung oder auch ein ent- 
sprech ndausgerust terT lefonapparat 

55 Anst He einer Chipkarte K sind auch andere Da- 
tentriger d nkbar, die von der g om trischen Form 
d r Chipkart Km hroderwenigerabw ichen. Mafc- 
g blich ist lediglich, daft d r Datentriger einen Pro- 
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zessor P und einen Speicher S enth§lt Im AusfGh- 
rungsbeispiel sind di Chipkart K und das Terminal 
T fiber elektrische Kontakt losbar miteinander v r- 
bund n. 5 

Der Speicher S der Chipkarte K ist in drei sich in 
der Speichertechnik unterscheidende Bereiche ein- 
geteilt Ein elektrisch losch- und wiederbeschreibba- 
rer Speicherteil EEPROM, ein schneller, als Arbeits- 
speicher benutzter schreib- und lesbarer Speicher 10 
RAM und ein maskenprogrammierbarer Speicherbe- \ 
reich ROM. Gem5B ihrer Speichereigenschaf ten wer- 
den die drei Speicherbereiche unterschiedlich ge- 
nutzt Im maskehprogrammierbaren Speicherbereich 
ROM sind vom Kartenhersteller die anwenderunab- 15 
h§ngigen, universell anwendbaren Daten und Pro- 
gramme gespeichert Unter anderem sind in diesem 
maskenprogrammierbaren Speicherbereich ROM 
mehrere Basisfunktionen B mit den Basisfunktionsbe- 
zeichnungen B1...Bn, Krypto-Algorithmen KA bei- 20 
spielsweise zur Verschlusselung der Daten beim Da- 
tenaustausch und ein Betriebssystem BTS der Chip- 
karte K eingetragen. Im schreib- und lesbaren Spei- 
cherbereich RAM warden solche Daten abgelegt, die 
wahrend der Dauer einer Verbindung zwischen Ter- 25 
minal T und Chipkarte K benfitigt werden. Unter an- 
derem sind das die Ein-/Ausgangsdaten I/O und Da- 
ten, die in einem Zustandsspeicherbereich ZS abge- 
legt werden. Im elektrisch schreib- und loschbaren 
Speicherbereich EEPROM werden die vom Karten- 30 
herausgeber festgelegten Daten gespeichert Dieser 
Speicherbereich EEPROM enthalt in einem soge- 
nannten G erne inschaftsdatenf eld CDF hinterlegte 
Daten, die unabhangig von einer speziellen Anwen- 
dung verwendet werden konnen und Daten, auf die 35 
nur bezuglich einer Anwendung zugegriffen werden 
kann. Diese anwendungsspezifischen Daten sind in 
sogenannten Anwendungsdatenfeldern ADF abge- 
legt Das Gemeinschaftsdatenfeld CDF und die An- 
wendungsdatenfelder ADF enthalten zusStzlich so- 40 
genannte Steuerlisten STL, in denen jeweils minde- 
stens die Ablaufreihenfolge einer Anwendung festge- 
legt ist Eine einem bestimmten Anwendungsdaten- 
feld ADF zugeordnete Steuerliste STL kann auch au- 
fcerhalb des Anwendungsdatenfeldes ADF im Ge- 45 
meinschaftsdatenfeld CDF gespeichert werden. Dies 
ist immer dann sinnvoll, wenn fur verschiedene An- , 
wendungen die gleiche Ablaufreihenfolge vorge- 
schrieben ist Da die Steuerliste STL dann fur zwei 
Oder mehrere solcher Anwendungen nur einmal ge- so 
speichert werden mufS kann Speicherplatz gespart 
werden. 

In FIG 2 ist das Ablaufdiagramm einer Anwen- 
dung dargestellt Ausgehend von inem Anfangszu- 
stand Z1 folgt durch Abarbeitung einer vierten Basis- 55 
funktion B4 auf den Anfangszustand Z1 in zw iter 
Zustand Z2. Von diesem zweit n Zustand Z2 ausg - 
hend, ist alternate di Abarbeitung zwei r Basisfunk- 
tionen B2, B3 moglich. Mit rfolgreich r Abarbeitung 



der zweiten Basisfunktion B2 kommt die Anwendung 
in einen dritt n Zustand Z3 und mit der erfolgr ich n 
Abarbeitung der dritten Basisfunktion B3g ratdi An- 
wendung in inen viert n Zustand Z4. Vom vi rten 
Zustand Z4 ausgehend ist nur die Abarbeitung derer- 
sten Basisfunktion B1 erlaubt, wodurch die Anwen- 
dung in einen funften Zustand Z5 gerat Von diesem 
funften Zustand Z5 ausgehend, ist entweder die Ab- 
arbeitung der zweiten Basisfunktion B2 oder der drit- 
ten Basisfunktion B3 zugelassen, wShrend die Abar- 
beitung der dritten Basisfunktion B3 zum vierten Zu- 
stand Z4 der Anwendung zuruckfuhrt, fuhrtdie Abar- 
beitung der zweiten Basisfunktion B2 zu einem End- 
zustand Z6 der Anwendung, Wenn, vom zweiten Zu- 
stand Z2 ausgehend, die zwerte Basisfunktion B2 ab- 
gearbeitet wird, ger§t die Anwendung in den dritten 
Zustand Z3. Von diesem Zustand Z3 ausgehend ist le- 
diglich die Abarbeitung der funften Basisfunktion B5 
zulassig, die zum Endzustand Z6 der Anwendung 
fuhrt Zusitzlich ist bei jedem Zustand Z der Anwen- 
dung die Abarbeitung einer sechsten Basisfunktion 
B6 und einer schlie&enden Basisfunktion BC erlaubt 
Stellvertretend fur samtliche sechsten Basisfunktio- 
nen B6 ist diese nur beim dritten Zustand Z3 der An- 
wendung in der FIG 2 eingezeichnet Die Abarbeitung 
der sechsten Basisfunktion B6 fuhrt immer wieder zu 
dem Zustand Z zuruck, von dem sie ausging. Die Ab- 
arbeitung der schlieBenden Basisfunktion BC fuhrt 
stets zur Beendigung der Anwendung. 

In FIG 3 ist eine Nachfolgertabelle abgebildet In 
der ersten Spalte sind samtliche innerhalb der An- 
wendung moglichen Zustande Z mit den Nummern 1 
bis 6 eingetragen. In der zweiten Spalte ist zu jedem 
Zustand die Anzahl BA der zutassigen Basisfunktio- 
nen B eingetragen. Gem§& dem Ablaufdiagramm aus 
FIG 2 sind dies zwei Basisfunktionen B zum ersten 
Zustand Z1, drei Basisfunktionen B zum zweiten Zu- 
stand Z2, zwei Basisfunktionen B zum dritten Zustand 
Z3 V zwei Basisfunktionen B zum vierten Zustand Z4, 
drei Basisfunktionen B zum funften Zustand Z5 und 
zwei Basisfunktionen B zum sechsten Zustand Z6. Da 
das Beenden einer Anwendung keinen Anwendungs- 
zustand zur Folge hat, ist die bei jedem Zustand Z 
mdgliche schlie&ende Basisfunktion BC in der Nach- 
folgertabelle der FIG 3 nicht berucksichtigt Nach der 
zweiten Spalte sind in der Ta belle mehrere Spalten- 
paare angegeben. Die Zahl der Spaltenpaare ent- 
sprichtder maximalen Anzahl BA der zutassigen Ba- 
sisfunktionen Bp die auf einen Zustand Z folgen k6n- 
nen. Jedes Spaltenpaar besteht aus einer Spalte, in 
der die Nummer B1...B6 der jeweils zulassigen Basis- 
funktion B angegeben ist und aus einer zweiten Spal- 
te, in die die Folgezustandsbezeichnung ZF, des auf 
denj weiligen Zustand Z nach Abarb itungein r Ba- 
sisfunktion B folg nd n Zustand es Z1...Z6 eingetra- 
gen ist So sind beispielsweis im zweiten Zustand Z2 
drei Basisfunktionen B zur Abarbeitung zugelass n, 
namlich die zweit Basisfunktion B2, die dritte Basis- 
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funktion B3 und die sechste Basisfunkti n B6. Auf die 
zw ite Basisfunkti n B2 f Igt d r dritte Zustand Z3, 
auf die dritte Basisfunktion B3 folgt der vierte Zustand 
Z4 und auf di sechste Basisfunktion B6 folgt der 
zweite Zustand Z2. 

Die Nachfolgertabelle gem§B FIG 3 kSnnte in die- 
ser Form zwar abgespeichert werden; diese Spei- 
cherform hatte aber einen hohen Aufwand bei der 
Auswertung dieser Tabelle zur Folge. Deshalb wird 
die Nachfblgetabelle in Form einer Steuerliste STL, 
wie sie in FIG 4 angegeben ist, gespeichert 

FIG 4 zeigt ausschnittsweise eine Steuerliste 
STL, die in zwei Speicherbereiche S1 und S2 einge- 
tragen ist Im Speicherbereich S1 sind ein Steuer li- 
sten kopf SK und ein Steuer I istenrumpf SR unterge- 
bracht und im Speicherbereich 52 ist eine Ausnahmen- 
liste SAabgelegt Der Steuerlistenkopf SK enthalt je ei- 
nen Speicherplatz fur eine Steuerlistenkopflange SKL 
und fur eine Ausnahmenlistenblocknummer SAN. Des- . 
weiteren enth§lt der Steuerlistenkopf SK nacheinan- 
der den zulassigen ZustSnden Z in aufsteigender Rei- 
henfolge zugeordnete Speicherplatzpaare, in die je- 
weits die Anzahl SBA der beim betreffenden Zustand 
Z zulassigen Basisfunktionen B (mit Ausnahme der 
Basisfunktionen B t dessen Basisfunktionsbezeich- 
nungen Bn in einer Ausnahmenliste SA eingetragen 
sind) und ein Pointer SBP eingetragen sind. Dieser 
Pointer SBP zeigt auf einen Speicherplatz im Steuer- 
listenrumpf SR ( an dem die zulassigen Basisfunktio- 
nen B und ihre Folgezustande ZF abgelegt sind. Der 
Steuerlistenrumpf SR besteht aus Gruppen von 
Datentupeln, wobei auf den Anfang jeder Gruppe der 
Pointer SBP aus dem Steuerlistenkopf SK zeigt Ein 
solches Tupel setzt sich aus einem Speicherplatz fur 
die Bezeichnung einer Basisfunktion B und einem 
Speicherplatz fur eine Folgezustandsbezeichnung 
ZF eines zwingend auf die im Tupel bezeichnete Ba- 
sisfunktion B folgenden Zustandes Z zusammen. Wie 
die FIG 4 zeigt, sind im Steuerlistenkopf SK dem er- 
sten Zustand Z1 eine Funktionsanzahl SBA1 und ein 
Pointer SBP1 zugeordnet. DerPointerSBPI weistauf 
die dem ersten Zustand Z1 zugeordnete Gruppe im 
Steuerlistenrumpf SR, die ein Datentupel enthalt In 
die Speicherplatze dieses Datentupels sind die Be- 
zeichnung der vierten Basisfunktion B4 und die Fol- 
gezustandsbezeichnung ZF des auf die erfolgreiche 
Abarbeitung der vierten Basisfunktion B4 folgenden 
zweiten Zustandes Z2 eingetragen. Diese Eintragun- 
gen entsprechen den Eintragungen, die an entspre- 
chender Stelle aus FIG 2 bzw. FIG 3 entnehmbar sind. 

Da zu alien Zustinden Z der Anwendung die Ab- 
arbeitung der sechsten Basisfunktion B6 und die Ab- 
arb itungderdie Anw ndung beendenden schli d n- 
den Basisfunktion BC zulasslg ist ist es v rteilhaft, 
diese Basisfunktionen nicht im St u rlistenrumpf SR 
einzutragen. Durch die Einrichtung der Ausnahmenli- 
ste SA im zw iten Speicherbereich S2 konnen die Be- 
zeichnungen d r bei jedem Zustand Z zulassigen Ba- 



sisfunktionen B6, BC speich rplatzsparend In ein 
Steu rlist STL eingefugt w rden. Im St u rlist n- 
kopfSKistind n Speicherplatz n ben der Steuer I i- 

5 stenkopflangeSKL ine Ausnahmenlistenblocknummer 
SAN eingetragen. Durch diese Nummerwird die Aus- 
nahmenliste SA der Anwendung zugeordnet Durch 
diese Art der Ausnahmenlistenzuordnung und ge- 
meinsam mit der Speicherung der Ausnahmenliste 

10 SA im Gemeinschaftsdatenfeld CDF ist es auch mog- 
lich, eine Ausnahmenliste SA fur verschiedene An- 
wendungen zu verwenden. 

FIG 5 zeigt eine spezielle Ausfuhrung des Zu- 
standsspeicherbereiches ZS. Der Zustandsspeicher 

is ZS enthalt Informationen zum Protokollablauf und zur 
Datenzugriffskohtrolle. Zu den informationen zum 
Protokollablauf gehSren die Blocknummer STB der 
Steuerliste STL, die Bezeichnung der zuletzt erfolg 7( 
reich abgearbeiteten Basisfunktion B, die im Basis- 

20 funktionsspeicherplatz BZ eingetragen ist und die In- 
formation uber den aktuellen Protokollzustand Z, die 
im Protokollzustandsspeicherplatz Zi abgelegt ist 
Die Speicherplatze zur Datenzugriffskontrolle umfas- 
sen einen Platz APINfurdie Kennzeichnung einer er- 

25 folgreich durchgefuhrten PIN-Prufung innerhalb der 
Anwendung, zwei Speicherplatze zum Ablegen der 
Information, ob zwei verschiedene Authentizitatspru- 
. fungen AUTH1 , AUTH2 erfolgreich durchgefuhrt wur- 
deh, eiriige Reservespeicherplatze RES und einen 

30 Speicherplatz, in dem die Information eingetragen 
wird, ob eine globale PIN-Prufung GPIN erfolgreich 
durchgefuhrt wurde. 

Im folgenden wird der Ablaut des erf indungsge- 
ma&en Verfahrens unter Etnbeziehung der oben be- 

35 schriebenen Vorrichtung erliutert 

Mit dem Einstecken einer Chipkarte K in das Ter- 
minal T wird mittels elektrischer Kontakte Oder gege- 
benenfalls auch kontaktlos eine elektrische Verbin- 
dung zwischen Terminal T und Chipkarte K herge- 

40 stellt Diese Verbindung wirkt sowohl hinsichtlich der 
Stromversorgung als auch bezQglich der Ankopplung 
der Ein-/Ausgabeeinrichtungen I/O des Terminals T 
und der Chipkarte K. Durch das Einstecken der Chip- 
karte K wird der gesamte Arbeitsspeicherbereich in 

45 einen bestimmten Zustand - z.B. alle Bit = 0 -zuruck- 
gesetzt 

Das Terminal T ist in diesem Beispiel einer be- 
stimmten Anwendung - beispielsweise einem Geldau- 
tomaten einer Bank - zugeordnet Die jeweiiige Art 

so der Anwendung wird der Chipkarte K in der Weise mit- 
geteilt, dad das Terminal T ein spezif isches Applika- 
tionskommando an die Chipkarte K ubertragt Auf der 
Chipkarte K wird nun uberpruft, ob auf der Chipkarte 
K ein Anwendungsdatenfeld ADF fur diese spezielle 

55 Anwendung vorhanden ist Ist dieses Anw ndungs- 
dat nfeldADFvorhand n.find tein t ilweise Initia- 
lisierung des Zustandssp icherber ichs ZS statt 
Diese Initialisierung hatzur F Ige.da&di Blocknum- 
mer STB d rdies r Anwendung zugeordneten,im An- 
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wendungsdatenfeld ADF Oder im Gemeinschaftsda- 
tenfeld CDF v rmerkten Steuerlist STL im Zu- 
standsspeich rb reich 2S eingetragen wird und der 
Protokollzustandsspeicherplatz Zi, in d mderaktu I- 
le Anwendungszustand Z eingetragen werden muB, 
auf den ersten Zustand Z1 gesetzt wird. Desweiteren 
werden samtliche Bit der anwendungsbezogenen 
Speicherplatze zuruckgesetzt (beispielsweise 0). Die 
Bit der Speicherplatze fur globale Daten bleiben un- 
ver§ndert 

Nach der Meldung an das Terminal T, dali der In- 
itial is ierungsvorgang abgeschlossen ist, erfolgt die 
Obertragung eines Funktionskommandos vom Termi- 
nal T zur Chipkarte K, wobei dieses Funktionskonrv 
mando, z.B. die vierte Basisfunktion B4 bezeichnet 
und die notwendigen Eingangsdaten fur diese Basis- 
funktion B4 enthalt Die Chipkarte K befindetsich auf 
Grund der Eintragung im Zustandsspeicherbereich 
ZS im ersten Zustand Z1 . Es wird nun im Steuerlisten- 
kppf SK, der Steuerliste STL mit der im Zustandsspei- 
cherbereich ZS eingetragenen Blocknummer STB, 
dasjenige Datenpaar gelesen, das dem ersten Zu- 
stand Z1 zugeordnet ist Im Speicherplatz SBA1 ist 
eingetragen, daft in diesem ersten Zustand Z1 nur ei- 
ne Basisfunktion B zulassig ist Der neben diesem 
Speicherplatz eingetragene Pointer SBP1 zeigt auf 
- die dem ersten Zustand Z1 zugeordnete Gruppe von 
Datentupeln. Dieses Tupel enthalt die Bezeichnung 
der vierten Basisfunktion B4 und die Bezeichnung 
des auf die vierte Basisfunktion B4 folgenden Zustan- 
des 22. Der Vergleich der vom Terminal T ubertrage- 
nen Basisfunktionsbezeichnung B4 und der Basis- 
funktionsbezeichnung B4, die im Datentupel des 
Steuerlistenrumpfes SR eingetragen ist, liefert ein 
positives Ergebnis. Auf Grund dieses positiven Ver- 
gleichsergebnisses wird die vierte Basisfunktion B4 
unter Verwendung der mit dem Funktionskommando 
ubertragen en Eingangsparameter abgearbeitet Un- 
ter der Annahme, dad die vierte Basisfunktion B4, die 
fur die PIN-Prufung zustSndige Funktion ist, und daft 
die PIN-Nummer vor dem Funktionsaufruf am Termi- 
nal T richtig eingegeben wurde, liefert die vierte Ba- 
sisfunktion B4 das Ergebnis, daS die PIN-Prufung er- 
folgreiche vorgenommen wurde. Am Basisfunktions- 
speicherplatz BZ fur die zuletzt erfolgreich ausge- 
fuhrte Basisfunktion B des Zustandsspeicherberei- 
ches ZS wird die Bezeichnung der vierten Basisfunk- 
tion B4 eingetragen. Zusatzlich wird an einem der 
Speicherplatze APIN oder GPIN, beispielsweise 
durch Setzen eines Bit die erfolgreich ausgefuhrte 
PIN-Prufung vermerkt Welches Bit der beiden Spei- 
cherplatze gesetzt wird hangt davon ab ( ob mit dem 
gleichen Terminal T mehrere Anwendungen realisier- 
barsind und davon, ob fur ail Anw ndungen, fur die 
die Chipkarte K zug lass n ist, die gleich PIN-Num- 
mer erforderlich ist. Da im beschriebenen Fall das 
Terminal T ausschlie&lich dem Geldautomaten zug - 
ordnet ist und damit nur ein Anwendung mit diesem 



Terminal T durchgefuhrt werden kann, wird der Spei- 
cherplatz APIN im Zustandsspeich rb reich ZS auf 1 
gesetzt 

s Der Zustand Z d r Anwendung wird dadurch in 

den zweiten Zustand Z2 ubergefuhrt, dali der im 
Datentupel im Steuerlistenrumpf SR neben der Ba- 
sisfunktionsbezeichnung B4 in Form einer definier- 
ten Bitfolge eingetragene Zustand Z2 in den Proto- 

10 kollzustandsspeicherplatz Zi des Zustandsspeicher- 

\ bereichs ZS eingetragen wird. 

Nachdem ein Antwortsignal, das dem Terminal T 
die erfolgreiche Abarbeitung der vierten Basisfunkti- 
on B4 signalisiert, von der Chipkarte K zum Terminal 

15 T ubertragen wurde, ist der erste Vorgang abge- 
schlossen. Die Chipkarte K ist wieder bereit, eine In- 
formation hier in Form eines Funktionskommandos, 
zu empfangen. 

Das Terminal T ubertragt nun ein zweites Funkti- 

20 onskommando zur Chipkarte K. Dieses Funktions- 
kommando bezeichnet die dritte Basisfunktion Eft 
und beinhaltet die Eingangsparameter dieser Basis- 
funktion B3. Im Steuerlistenkopf SK wird das jeweili- 
ge Datenpaar gelesen, das dem zweiten Zustand 22 

25 zugeordnet ist Im Speicherplatz SBA2, der die An- 
zahl derzulSssigen Basisfunktion en Bangibt stent die 
Zahl zwei. Der zugehorige Pointer SBP2 zeigt auf den 
-ersten Speicherplatz, der dem zweiten Zustand 22 
zugeordneten Gruppe von Datentupeln im Steuerli- 

30 stenrumpfSR. 

Die in dieser Gruppe eingetragenen Basisfunkti- 
onsbezeichnungen B2, B3 werden mit der Basisfunk- 
tionsbezeichnung B3, die mit dem Funktionskom- 
mando zur Chipkarte K ubertragen wurde, vergli- 

35 chen. Der Vergleich fallt positiv aus. Nach erfolgrei- 
cher Abarbeitung der dritten Basisfunktion B3 wird die 
Anwendung der Chipkarte K in den Zustand Z4 ver- 
setzt Unter der Annahme, dad im Zuge der Abarbei- 
tung der Basisfunktion B3 auf im Anwendungsdaten- 

40 feld ADF abgelegte Daten zug eg riff en werden mu& 
und dieser Zugriff nur zulassig ist, wenn vorher eine 
PIN-Prufung erfolgreich durchgefuhrt wurde, werden 
vor Beg inn der Abarbeitung der dritten Basisfunktion 
B3 die PIN- Speicherplatze APIN, GPIN im Zustands- 

45 speicherbereich ZS gelesen. Nur wenn eines der bei- 
den Bit auf 1 gesetzt ist wird die dritte Basisfunktion 
B3 abgearbeitet Ist diese Abarbeitung beendet, wird 
in den Basisfunktion sspeicherplatz BZ des Zustands- 
speicherbereichs ZS die Bezeichnung der dritten Ba- 

so sisfunktion B3 eingetragen und im Protokollzustands- 
speicherplatz Zi der vierte Zustand Z4 eingetragen. 
Zusatzlich wird ein Antwortsignal zum Terminal T 
ubertragen. 

Mit dem nichst n Funktionskommand wird di 
55 sechste Basisfunktion B6 angefordert und die n t- 
wendigen Eingangsparam ter zur Chipkarte K ub r- 
tragen. Im Steu rlistenkopf SK wird das dem vierten 
Zustand Z4 zugeordnete Dat npaar gel s n. Im 
Speicherplatz fur die Funkti nsanzahl SBA4 ist in 
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1 eing tragen. Der Point r SBP4 zeigt im Steuerli- 
stenrumpf SR auf d4s dem vierten Zustand Z4 zuge- 
ordn te Dat ntup I. In dies m Datentupel steht die 
Basisfunktionsbezeichnung B1 derersten Basisfunk- 
tion B und der entsprechende funf te Folgezustand 
Z5. Ein Vergleich der Basisfunktionsbezeichnung B1 
im Steuerlistenrumpf SR uhd der zur Chipkarte K 
ubertragenen Basisfunktionsbezeichnung B6 liefert 
ein negatives Ergebnis. Daraufhin wird im Steuerli- 
stenkopf SK die Ausnahmenlistenblocknummer SAN 
gelesen. Die in der Ausnahmenliste SA eingetrage- 
nen Basisfunktionsbezeichnungen B6, BC werden 
nun mit der zur Chipkarte K hin ubertragenen Basis- 
funktionsbezeichnung B6 verglichen. Auf Grund des 
posithren Vergleichsergebnisses und unter der Vor- 
aussetzung, daB eventuelle Datenzugriffebedingun- 
gen erfullt sind, wird die sechste Basisfunktion B6 ab- 
gearbeitet Trotz erfolgreicher Abarbeitung wird die 
Basisfunktionsbezeichnung B6 der sechsten Basis- 
funktion B nicht im Basisfunktionsspeicherplatz BZ 
des Zustandsspeicherbereichs ZS eingetragen. Die 
Eintragung im Protokollzustandsspeicherplatz Zi 
bleibt ebenfalls unverandert Auch jetzt erfoigt die 
Obertragung eines Antwortsignals zum Terminal T. 

Fur den Fall, daB sich die Anwendung nach Ab- 
arbeitung der dritten Basisfunktion B3 im vierten Zu- 
stand Z4 befindet und vom Terminal T nochmals die 
dritte Basisfunktion B3 aufgerufen wird, liefern s§mt- 
liche Vergleiche im Steuerlistenrumpf SR und in . der 
Ausnahmenliste SA ein negatives Ergebnis. In die- 
sem Fail findet ein weiterer Vergleich start Die zur 
Chipkarte Kubertragene Basisfunktionsbezeichnung 
B3 der dritten Basisfunktion B wird mit der im Zu- 
standsspeicherbereich ZS im Basisfunktionsspei- 
cherplatz BZ eingetragenen Basisfunktionsbezeich- 
nung B3 verglichen. Dieser Vergleich liefert ein posi- 
tives Ergebnis, wodurch die Abarbeitung der dritten 
Basisfunktion B3 zugelassen wird. Damit ist eine Wie- 
derholbarkeit von Basisfunktionen B gewShrleistet 

In entsprechender Weise werden die nachfol- 
gend aufgerufenen Basisfunktionen B der Anwendun- 
gen behandelt, bis vom Terminal T die schlieBende 
Basisfunktion BC aufgerufen wird, die die Anwen- 
dung beendet. Die schlieBende Basisfunktion BC 
kann nach Abarbeitung jeder beliebigen Basisfunkti- 
on B aufgerufen werden, da die Basisfunktionsbe- 
zeichnung BC in der Ausnahmenliste SAenthalten ist 
Fur den Fall, daB keine Ausnahmenliste SA existiert, 
muB der Prozessor P fur den Fall, daB sSmtliche vor- 
genommenen Vergleiche negatives Ergebnis gelie- 
fert haben, uberprufen, ob die vom Terminal T aufge- 
rufene Basisfunktion B die schlieBende Basisfunktion 
BC ist Auf diese Weis kann sichergest lit werd n, 
daB auch bei nicht vorhandener Ausnahmenliste SA 
die schlieB nde Basisfunktion BC jederzeitaufrufbar 
ist. 

Fuhrt kein der VergleichsmSglichkeiten zu i- 
nem positiven Ergebnis, dann wird dies dem Terminal 



T in Form.einer selektiven Fehl rmeldung mitgeteilt 
Aus dieser sel ktiven Fehlermeldung geht beispi Is- 
weise hervor, daB der Grund fur die Zuruckw isung 

5 die Nichtzulassigk it der Abarb itung der Basisfunk- 
tion B im vorliegenden Anwendungszustand Z ist An- 
dere selektive Fehlermeldungen kSnnen beispiels- 
weise anzetgen, daB die PIN-Nummer falsch einge- 
geben wurde oder eine PIN-Prufung noch nicht statt- 

10 ■ gefunden hat 

' In den meisten Fallen wird es genugen, mit einem 
Terminal T nur eine Anwendung auszufuhren. In die- 
sen Fallen genugt es, wenn erst nach Beendigung 
oder Abbruch einervorher aktivierten Anwendung ek 

15 neweitere Anwendung aufgerufen werden kann. taBt 
man aber an einem Terminal T mehrere Anwendun- 
gen zu, dann kann es sinnvoll sein, diese Anwendun- 
gen auch ineinander verschachteltaufzurufen. In di&r 
sen Fallen ist es dann moglich, nach der Ubermittlung 

20 eines Antwortsignals von der Chipkarte K zum Termi- 
nal T f ein Applikationskommando noch vor Beendi- 
gung einer Anwendung zur Chipkarte K zu ubertra- 
gen. Wenn ein Applikationskommando vor Beendi- 
gung einer Anwendung die Chipkarte K erreicht, wird 

25 der In halt des Zustandsspeicherbereichs ZS und eine 
Kennzeichnung, die die gegenw5rtig laufende An- 
wendung eindeutig benennt, in einem Hilfsspeicher 
abgelegt .Dieser Hilfsspeicher kann beispielsweise 
im Gemeinschaftsdatenfeld CDF eingerichtet sein. 

30 Nach Sicherung dieser Daten im Hilfsspeicher wird 
die teilweise Initialisierung des Zustandsspeicherbe- 
reichs ZS vorgenommen. Die mit dem Applikations- 
kommando bezeichnete eingeschobene Anwendung 
kann in oben beschriebener Weise bearbeitet wer- 

35 den. Nach Beendigung der eingeschobenen Anwen- 
dung werden die im Hilfsspeicher abgelegten Daten 
der unterbrochenen Anwendung wieder an ihre ur- 
sprunglichen Speicherstellen zurucktransferiert Der 
Ablauf der vorher unterbrochenen Anwendung kann 

40 fortgesetzt werden. 



Pate ntansp ruche 

45 1. Verfahren zur Verhinderung unzulissiger Abwei- 
chungen vom Ablaufprotokoll einer Anwendung 
bei einem Datenaustauschsystem, das minde- 
stens aus einem Terminal (T) und mindestens ei- 
nem tragbaren, mindestens einen Prozessor (?) 

so ' und mindestens einen Speicher (S) enthaiten- 
den, wenigstens fur eine Anwendung nutzbaren 
Datentrager (K) besteht, 

wobei dem Datentr§ger (K) vom Terminal Funkti- 
onskommandos ubermittelbar sind, die j weils 
55 mind stens ine Basisfunktionsb zeichnung 

(Bk) einer Basisfunktion (B) nthalt n, die als 
nachste ausgefuhrt w rden soil, gek nnzeich- 
net durch folgende Verfahrensschritte: 

a) zum Dat naustausch wird d r Datentrager 
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(K) mit dem Terminal (T) verbunden, wodurch 
einimSp icher(S)d sDat ntrag rsvorhan- 
dener Zustandsspeich rb reich (ZS) in inen 
Grundzustand versetzt wird, 5 

b) das Terminal (T) ubermittelt an den Daten- 
trSger (K) ein Applikationskommando, das ei- 
ne dem Terminal (T) zugeordnete Anwendung 
bezeichnet 

c) das Terminal (T) ubermittelt an den Daten- 10 
trager (K) ein Funktionskommando, 1 
c) diese Basisfunktionsbezeichnung (Bk) wird 

im Datentrager (K) mit im Speicher (S) des 
Datentragers (K) bezuglich der vorher be- 
zel chneten Anwendung gespeicherten Basis- 15 
funktionsbezeichnungen (Bn) verglichen, die 
im vorliegenden, durch eine Eintragung im 
Zustandsspeicherbereich (ZS) fixierten, Pro- 
tokollzustand zulassig sind, 

e) nur bei posittvem Vergleichsergebnis wird 20 
die derzum Datentr§ger (K) ubermittelten Ba- 
sisfunktionsbezeichnung (Bk) zugeordnete 
Basisfunktion (B) im Datentrager (K) ausge- 
fuhrt, 

f) nach erfolgreicher Basisfunktionsausfuh- 25 
rung 

f1) werden die im Zustandsspeicherbe- 

reich (ZS) abgelegten Datendem neuen 

Protokollzustand angepa&t, 

f2) wird vom Datentrager (K) zum Terminal 30 

(T) ein Antwortsignal Qbertragen, 

g) bis der Ablauf der Anwendung beendet ist 
oder abgebrochen wird, wird vom Terminal 
(T), nach der Ubertragung eines Antwortsi- 
gnals vom Datentrager (K) zum Terminal (T), 35 
durch Ubermittelung eines Funktionskom- 
mandos an den Datentr3ger (K) die nachste 
auszufuhrende Basisfunktion (B) aufgerufen. 

Verfahren nach Anspruch 1, dadurch gekenn- 40 
zeichnet, da& durch die Obermittiung des Appii- 
kationskommandos vom Terminal (T) zum Daten- 
trager (K) eine teilweise Initialisierung des Zu- 
standsspeich erbe reich s (ZS) ausgeldst wird. 

45 

Verfahren nach mindestens einem der vorherge- 
henden Anspruche, dadurch gekennzeichnet, 
daft die Obermittiung des Applikationskomman- 
dos vom Terminal (T) zum Datentrager (K) die 
Eintragung einer Blocknummer (STB) im Zu- so 
standsspeicherbereich (ZS) bewirkt und daft die- 
se Blocknummer (STB) den Platz im Speicher (S) 
des Datentragers (K) bezeichnet, an dem die bei 
der mit d m Applikationskommando b zeichn - 
t n Anwendung im jeweils v rliegenden Proto- 55 
kollzustand (Z) zulassigen Basisfunktionsbe- 
z ichnungen (Bn) abgelegt sind. 

Verfahren nach mindestens einem der vorherge- 



henden Anspruche, dadurch gekennzeichnet, 
da& die Ob rtragung einer Information v m Ter- 
minal (T) zum Datentrager (K) nur dann erfolg n 
kann.w nn vorher ein Antw rtsignal vom Daten- 
trSger (K) zum Terminal (T) ubermittelt wurde. • 

5. Verfahren nach mindestens einem der vorherge- 
henden Anspruche, dadurch gekennzeichnet, 
daft durch Obermittiung eines Applikationskom- 
mandos vom Terminal (T) zum DatentrSger (K) 
erst nach Beendigung Oder Abbruch einer vorher 
aktivierten Anwendung eine weitere Anwendung 
aufgerufen werden kann. 

6. Verfahren nach mindestens einem der Anspru- 
che 1 bis 4, dadurch gekennzeichnet, da& bei 
Obermittiung eines Applikationskommandos vor 
Beendigung einer Anwendung mindestens der In- 
haltdes Zustandsspeicherbereichs (ZS) in einem 
Hilfsspeicher abgelegt wird, dad danach die teil- 
weise Initialisierung des Zustandsspeicherbe- 
reichs (ZS) erfolgt und da& nach erfolgter Initia- 
lisierung die mit dem Applikationskommando be- 
zeichnete eingeschobene Anwendung bearbeitet 
wird. 

7-. Verfahren nach Anspruch 6, 

dadurch gekennzeichnet, da& nach Beendi- 
gung der eingeschobenen Anwendung die im 
Hilfsspeicher abgelegten, der unterbrochenen 
Anwendung zugeordneten Daten wieder an ihre 
ursprunglichen Speicherstellen zurucktransfe- 
riert werden und dad der Ablauf der unterbroche- 
nen Anwendung fortgesetzt wird. 

8. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, daft zusatz- 
lich zur Basisfunktionsbezeichnung (Bk) im Funk- 
tionskommando enthaltene Basisfunktionsein- 
gangsparameter an den Datentrager (K) ubermit- 
telt werden. 

9. Verfahren nach mindestens einem der Anspru- 
che 3 bis 8, dadurch gekennzeichnet, daft nach 
Erhalt eines Funktionskommandos Oberpruft 
wird, ob eine Blocknummer (STB) im Zustands- 
speicherbereich (ZS) eingetragen ist 

10. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, daft ein er- 
ster Speicherbereich (S1) des Speichers (S) dar- 
aufhin uberpruft wird, ob eine Eintragung zum 
vorlieg nden Protokollzustand (Z) der mit dem 
Applikationskommando bezeichneten Anwen- 
dung in diesem erst n Speicherbereich (S1) vor- 
handen ist 

11. Verfahren nach Anspruch 10, dadurch gekenn- 
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zeichnet, da& im Falle einervorhandenen Eintra- 
gung zum vorlieg nden Protokollzustand (Z) die 
bezuglich dieses Protokollzustand s (Z) im er- 
sten Sp icherbereich (S1) gespeicherten Basis- 5 
funktionsbezeichnungen (Bn) mit der, mit dem 
Funktionskommando zum Datentrager (K) uber- 
mittelten Funktionsbezeichnung (Bk) verglichen 
werden. 

10 

12. Verfahren nach mindestens einem der Anspru- \ 
che 10 Oder 11, dadurch gekennzeichnet, da& 

im Falle einer fehlenden Eintragung zum vorlie- 
genden Protokollzustand (Z) bzw. einer Nicht- 
ubereinstimmung der Obermittelten und der ge- 15 
speicherten Basisfunktionsbezeichnungen (Bk,Bn) 
im ersten Speicherbereich (S1) in einem zweiten 
Speicherbereich (S2) des Speichers (S) uber- 
pruf t wird, ob die zum Datentrager (K) Obermittel- 
te Basisfunktionsbezeichnung (Bk) in diesem 20 
zweiten Speicherbereich (S2) bezuglich der mit 
dem Applikationskommando bezeichneten An- 
wendung, unabhangig vom vorliegenden Proto- 
kollzustand (Z) eingetragen isL 

25 

1 3. Verfahren nach mindestens einem der vorherge- 
henden Anspruche 10 bis 12, dadurch gekenn- 
zeichnet, daS im Falle einer fehlenden Eintra- 
gung zum vorliegenden Protokollzustand Z bzw. 
einer Nichtubereinstimmung der Obermittelten 30 
und der gespeicherten Basisfunktionsbezeich- 
nung (Bk, Bn) sowohl im ersten Speicherbereich 
(S1) als auch im zweiten Speicherbereich (S2) 
uberpruft wird, ob die Obermittelte Basisfunkti- 
onsbezeichnung (Bk) die Basisfunktionsbezeich- 35 
nung (BC) fur die schlieflende Basisfunktion (B) 

ist 

14. Verfahren nach mindestens einem der vorherge- 
henden Anspruche, dadurch gekennzeichnet, 40 
daft nach erfolgreicher AusfOhrung einer Basis- 
funktion (B) die Bezeichnung dieser Basisfunkti- 
on (B) in einem Basisfunktionsspeicherplatz (BZ) 

des Zustandsspeicherbereichs (ZS) eingetragen 
wird. 45 

15. Verfahren nach mindestens einem der Anspru- 
che 1 0 bis 14, dadurch gekennzeichnet, da a bei 
Nichtubereinstimmung der zum Datentrager (K) 
Obermittelten Basisfunktionsbezeichnung (Bk) so 
mit den entsprechenden Eintragungen im Spei- 
cher (S) diese ubermittelte Basisfunktionsbe- 
zeichnung (Bk) mit der im Basisfunktionsspei- 
cherplatz (BZ) d s Zustandssp icherbereichs 
(ZS)v rmerktenB zeichnungd rzuletzt erfolg- 55 
reich ausgefuhrt n Basisfunktion (B) verglichen 
wird. 

16. Verfahren nach mind st ns einem der vorherge- 



henden Anspruche, dadur h g kennzeichnet, 
daBzu einer Basisfunktionsausfuhrung eve ntuell 
rfbrderliche, im Zustandsspeicherbereich (ZS) 
abgelegt Zugriffsrechte auf Daten im Datentra- 
ger (K) uberpruft werden. 

17. Verfahren nach mindestens einem der AnsprO- 
che 1 0 bis 16, dadurch gekennzeichnet, daft ei- 
ne im ersten Speicherbereich (S1) in Verb in dung 
mit einer gespeicherten Basisfunktionsbezeich- 
nung (Bn) abgelegte Folgezustandsbezeichnung 
(ZF), nach erfolgreicher Ausfuhrung dieser der 
gespeicherten Basisfunktionsbezeichnung (Bn) 
zugeordneten Basisfunktion (B), im Protokollzu- 
standsspeicherplatz 1 (Zi) des Zustandsspeicher- 
bereichs (ZS) eingetragen wird. 

18. Verfahren nach mindestens einem der vorherge- 
henden Anspruche, dadurch gekennzeichnet, 
dad nach erfolgreicher Basisfunktionsausfuhruhg 
zur Anpassung an den neuen Protokollzustand (Z) 
Informationen zum Protokotlablauf und/oder zur 
Datenzugriffskontrolle im Zustandsspeicherbe- 
reich (ZS) eingetragen werden. 

19. Verfahren nach Anspruch 18, dadurch gekenn- 
zeichnet, da& die Informationen zur Datenzu- 
griffskontrolle getrennt nach anwendungsbezo- 
genen und globalen Daten im Zustandsspeicher- 
bereich (ZS) eingetragen werden. 

20. Verfahren nach mindestens einem der vorherge- 
henden Anspruche, dadurch gekennzeichnet, 
daR bei negativem Vergleichsergebnis eine se- 
lektive Fehlermeldung vom Datentrager (K) zum 
Terminal (T) ubermittelt wird. 

21. Vorrichtung zur Durchfuhrung des Verfahrens 
nach mindestens einem der Anspruche 1 bis 20, 
bei der der Speicher (S) in einen gemeinschaf tli- 
che und anwendungsbezogene Daten enthalten- 
den Datenspeicher (EEPROM), einen auch eine 
Ein-/Ausgangsschnittstelle (I/O) bedienenden 
Arbeitsspeicher (RAM) und einen ein Betriebssy- 
stem (BTS) und mehrere Basisfunktionen (B) ent- 
haltenden Maskenspeicher (ROM) eingeteilt ist, 
dadurch gekennzeichnet, dad der Datenspei- 
cher (EEPROM) fur jede mogl iche Anwendung ei- 
ne die ZulSssigen Protokollablaufe enthaltende 
Steuerliste (STL) enthfiltund da& im Arbeitsspei- 
cher (RAM) der die jeweiligen Protokollzustande 
(Z) aufnehmende Zustandsspeicher (ZS) enthal- 
t n ist 

22. Vorrichtung nach Anspruch 21, dadurch g - 
kennzeichnet, da& die Steu rliste (STL) in inen 
St u rlistenkopf (SK) und ein n St u rlisten- 
rumpf (SR) aufg teilt ist 
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23. Vorrichtung nach Anspruch 22, dadurch ge- 
k nnzeichn t,daEimSteu rlist nkopf(SK) line- 
ar nach inanderdieSteu rlistenkopflang (SKL) 

, undfurjed nbeiderAnw ndung moglichen Zu- 5 
stand (Z), beginnend mit dem ersten Zustand (Z1 ) 
ein Datenpaar gespeichert ist, das aus einer die 
beim jeweiligen Zustand (Z) ausfuhrbare Basis- 
funktionsanzahl (SBA) angebenden Information 
und aus einem auf eine Speichersteile im Steuer- 10 
listenrumpf (SR) weisenden Pointer (SBP) be- 
steht 

24. Vorrichtung nach mindestens einem der Anspru- 

che 22 Oder 23, dadurch gekennzeichnet, da& 15 
der Steuerlistenrumpf (SR) wenigstens aus ei- 
ner, aus jeweils mindestens einem Datentupel 
bestehenden, jeweils einem Zustand (Z) Zuge- 
ordneten Gruppe bestehtund daB die Datentupel 
jeweils aus einer gespeicherten Basisfunktions- 20 
bezeichnung (Bn) und einer Folgezustandsbe- 
zeichnung (ZF) bestehen. 



25. Vorrichtung nach mindestens einem der Anspru- 
che 23 oder 24, dadurch gekennzeichnet, daB 
der einem bestimmten Zustand (Z) zugeordnete 
Pointer (SBP) jeweils auf den Beginn einer dem 
gieichen Zustand (Z) Zugeordneten Gruppe im 
Steuerlistenrumpf (SR) zeigt 

26. Vorrichtung nach mindestens einem der Anspru- 
che21 bis 25, dadurch gekennzeichnet, dad ei- 
ner Steuerliste (STL) eine Ausnahmenliste (SA) 
zugeordnet ist 



25 



35 



27. Vorrichtung nach Anspruch 26, dadurch ge- 
kennzeichnet, daft im Steuerlistenkopf (SK) un- 
mittelbar nach der Steuerlistenkopf la nge (SKL) 
eine Ausnahmenlistenblocknummer (SAN) ein- 
getragen ist, die direkt oder indirekt den Spei- 40 
cherplatz angibt, an dem die Ausnahmenliste 
(SA) gespeichert ist 



45 



28. Vorrichtung nach mindestens einem der Anspru- 
che 26 oder 27, dadurch gekennzeichnet, dad 
in der Ausnahmenliste (SA) nacheinanderdie Ba- 
sisfunktionsbezeichnungen (Bn) der Basisfunk- 
tionen (B) angegeben sind, die unabhangig vom 
vorliegenden Protokollzustand jederzeit ausfuhr- 

bar sind. so 

29. Vorrichtung nach mindestens einem der vorher- 
gehenden Anspruche 21 bis 28, dadurch ge- 
kennz ichnet, daB im Zustandsspeicherber ich 
(ZS) Speicherplatze fur b stimmtelnformationen 55 
zum Protokollablauf und/ der zur Datenzugriffs- 
kontrolle vorhand nsind. 

30. Vorrichtung nach Anspruch 29, dadurch ge- 



kennzeichnet, dad im Zustandsspeicherbereich 
(ZS) zum Protok llablauf j ein Speicherplatz fur 
dieBlocknummer(STB)d rderv rliegenden An- 
wendung zug rdnet n Steu rliste (STL), in 
Basisfunktionsspeicherplatz (BZ) fur die Basis- 
funktionsbezelchnung (Bk) derzuletzterfolgreich 
ausgefuhrten Basisfunktion (B) und ein Protokoll- 
zustandsspeicherplatz (Zi) fur den Protokollzu- 
stand (Z) nach der zuletzt erfolgreich ausgefuhr- 
ten Basisfunktion (B) vorhanden ist 

31. yorrichtung nach mindestens einem der vorher- 
gehenden Anspruche 29 oder 30, dadurch ge- 
kennzeichnet, daB die im Zustandsspeicherbe- 
reich (ZS) vorhandenen Speicherplatze zur Da- 
tenzugriffskontrolle in globale und in anwen- 
dungsbezogene Speicherplatze aufgeteilt sind., 

32. Vorrichtung nach Anspruch 31, dadurch ge- 
kennzeichnet, daft je ein Speicherplatz fur das 
anwendungsbezogene Speichern einer durchge- 
fuhrten PiN-Prufung (PIN) fur einige sich vonein- 
ander unterscheidende durchgefuhrte Authentk 
zitatsprufungen (AUTH1,AUTH2) und ein gioba- 
ler Speicherplatz fur das Speichern einer durch- 
gefuhrten PIN-Prufung (GPIN) vorhanden sind. 



30 Claims 



1 . A method for preventing unauthorized deviations 
from an application development protocol in a 
data exchange system which consists of at least 
one terminal (T) and of at least one portable data 
carrier (K) which contains at least one processor 
(P) and at least one memory (S) and can be used 
for at least one application, in which method func- 
tion commands can be transmitted to the data 
carrier (K) from the terminal, which commands 
contain in each case at least one basic function 
designation (Bk) of a basic function (B) which is 
to be executed as the next one, characterized by 
the following method steps: 

a) to exchange data, the data carrier (K) is 
connected to the terminal (T) as a result of 
which a state memory area (ZS) existing in 
the memory (S) of the data carrier is set to a 
basic state, 

b) the terminal (T) transmits to the data carrier 
(K) an application command which designates 
an application allocated to the terminal (T), 

c) the terminal (T) transmits a function com- 
mand to th datacard r(K), 

d) this basic function designation (Bk) is com- 
pared in th data carrier (K) with basic func- 
ti n designations (Bn) stor d in the memory 
(S) of th data carrier (K) with respect to the 
pr viouslyd signated applicati n, which des- 
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ignations are authorized in the present proto- 
col stat fixed by an entry in the state memory 
area (ZS), 

e) the basic function (B) allocated to the basic 5 
function designation (Bk) transmitted to the 
data carrier (K) is only executed in the data 
carrier (K) when the result of the comparison 

is positive, 

f) after successful execution of t he basic fu no 10 
tion 

f1) the data stored in the state memory 
area (ZS) are adapted to the new protocol 
state, 

f2) a response signal is transmitted from 15 
the data carrier (K) to the terminal (T), 

g) until the development of the application is 
terminated or is aborted, the next basic func- 
tion (B) to be executed is called up by the ter- 
minal (T) by transmitting a function command 20 
to the data carrier (K) after the transmission 

of a response signal from the data carrier (K) 
to the terminal (T). 

Method according to Claim 1, characterized in 25 
that a partial initialization of the state memory 
area (ZS) is triggered by the transmission of the 
a]3plication~command from the terminal (T) to the 
data carrier (K). 

30 

Method according to atleastone of the preceding 
claims, characterized in that the transmission of 
the application command from the terminal (T) to 
the data carrier (K) effects the entering of a block 
number (STB) in the state memory area (ZS) and 35 
in that this block number (STB) designates the lo- 
cation in the memory (S) of the data carrier (K) 
at which the basic function designations (Bn), au- 
thorized in the application designated by the ap- 
plication command in the protocol state (Z) exist- 40 
ing in each case, are stored. 

Method according to at least one of the preceding 
claims, characterized in that transmission of an 
information item from the terminal (T) to the data 45 
carrier (K) can only occur if a response signal has 
previously been transmitted from the data carrier 
(K) to the terminal (T). 

Method according to at least one of the preceding so 
claims, characterized in that a further application 
can only be called up by transmission of an appli- 
cation command from the terminal (T) to the data 
carrier (K) aft rapr viously activat d application 
has been terminat dor aborted. 55 

Method according to at least one of Claims 1 to 
4, charact riz d in that on transmission of an ap- 
plication command before termination of an appli- 



cation, at least the content of the state memory 
area (ZS) is stored in an auxiliary memory, in that 
th n th stat mem ry area (ZS) is partially ini- 
tialized and in that, after complet d initialization, 
the inserted application designated by the appli-* * 
cation command is processed. 

7. Method according to Claim 6, characterized in 
that after termination of the inserted application, 
the data stored in the auxiliary memory and allo- 
cated to the interrupted application are again 
transferred back to their original memory loca- 
tions and in thatthe development of the interrupt- 
ed application is continued. 

8. Method according to one of the preceding claims, 
characterized in that, in addition to the basicfunc- 
tion designation (Bk), basic function input para- 
meters contained in the function command are 
transmitted to the data carrier (K). 

9. Method according to at least one of Claims 3 to 
8, characterized in that after a function command 
has been received, a check is carried out as to 
whether a block number (STB) is entered in the 
state memory area (ZS). 

10. Method according to one of the preceding claims, 
characterized in that a first memory area (S1) of 
the memory (S) is checked to see whether an en- 
try to the present protocol state (Z) of the appli- 
cation designated by the application command 
exists in this first memory area (S1). 

11. Method according to Claim 10, characterized in 
that, in the case of an existing entry to the pres- 
ent protocol state (Z), the basic function designa- 
tions (Bn) stored with respect to this protocol 
state (Z) in the first memory area (S1) are com- 
pared with the function designation (Bk) transmit- 
ted to the data carrier (K) with the function com- 
mand. 

1 2. Method according to at least one of Claims 1 0 or 
11, characterized in that in the case of a missing 
entry to the existing protocol state (Z) or a non- 
correspondence of the transmitted and the stor- 
ed basic function designations (Bk, Bn) in the first 
memory area (S1), a check is made in a second 
memory area (S2) of the memory (S) as to 
whether the basic function designation (Bk) 
transmitted to the data carrier (K) is entered in 
thiss condm mory area (S2) with r specttothe 
applicati n d signat d by the application c m- 
mand, independently of the existing protocol 
state (Z). 

13. M thod according to at least on of the preceding 
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Claims 10 to 12, characterized in that in the case 
of a missing entry to the pr sent protocol state (Z) 
or a non-corr spond nee of th transmitted and 
of th stor d basic function designation (Bk, Bn), 
a check is made both in the first memory area 
(S1) and in the second memory area (S2) as to 
whether the transmitted basic function designa- 
tion (Bk) is the basic function designation (BC) for 
the closing basic function (B). 

14. Method according to at least one of the preceding 
claims, characterized in that after successful 
execution of a basic function (B), the designation 
of this basic function (B) is entered in a basic 
function memory location (BZ) of the state mem- 
ory area (ZS). 

15. Method according to at least one of Claims 10 to 
14, characterized in that in the case of non-cor- . 
respondence of the basic function designation 
(Bk), transmitted to the data carrier (K), with the 
corresponding entries in the memories (S), this 
transmitted basic function designation (Bk) is 
compared with the designation, noted in the ba- 
sic function memory location (BZ) of the state 
memory area (ZS), of the last basic function (B) 

— successfully executed. — 

16. Method according to at least one of the preceding 
claims, characterized in that for executing a basic 
function, any required rights of access to data in 
the data carrier (K) stored in the state memory 
area (ZS) are checked. 

17. Method according to at least one of Claims 10 to 
16, characterized in that a successor state des- 
ignation (ZF) stored in the first memory area (S1 ) 
in connection with a stored basic function desig- 
nation (Bn) is entered in the protocol state mem- 
ory location (Zi) of the state memory area (ZS) af- 
ter successful execution of this basic function (B) 
allocated to the stored basic function designation 
(Bn). 

18. Method according to at least one of the preceding 
claims, characterized in that information items for 
protocol development and/or for data access con- 
trol are entered in the state memory area (ZS) for 
adaptation to the new protocol state (Z) after suc- 
cessful execution of the basic function. 

19. Method according to Claim 16, characterized in 
that the information items ar ent reds parat ly 
in accordance with application-r lated and global 
data in the state memory ar a (ZS) for data ac- 
cess control. 

20. Method according to at least one of the preceding 



claims, characterized in that a s lective error 
m ssage is transmitted from the data carrier (K) 
toth terminal (T) in th cas fan gativ result' 
s f the comparison. 

21. Device for carrying out the method according to 
at least one of Claims 1 to,20, in which the mem- 
ory (S) is divided into a data memory (EEPROM) 

10 containing common and application-related data, 
a main memory (RAM) also serving an input/out- 
put interface (I/O), and a mask memory (ROM) 
containing an operating system (BTS) and a num- 
ber of basic functions (B), characterized in that 

15 the data memory (EEPROM) contains a control 
list (STL) containing the authorized protocol de- 
velopments for each possible application, and in 
that the main memory (RAM) contains the state 
memory (ZS) accommodating the respective pro- 

20 tocol states (Z). 

22. Device according to Claim 21, characterized in 
that the control list (STL) is divided into a control 
list header (SK) and a control list body (SR). 

25 

23. Device according to Claim 22, characterized in 
that in the control list header (SK), the control list 
header length (SKL) and, for each state (Z) pos- 
sible in the application, beginning with the first 

30 state (Zi), a data pair which consists of an infor- 
mation item specifying the number (SBA) of basic 
functions which can be executed in the respec- 
tive state (Z) and of a pointer (SBP) pointing to a 
memory location in the control list body (SR) are 

35 linearly successively stored. 

24. Device according to at least one of Claims 22 or 

23, characterized in that the control list body (SR) 
consists at least of one group consisting of in 

40 each case at least one data tuple and allocated in 
each case to one state (Z), and in that the data 
tuples in each case consist of a stored basic func- 
tion designation (Bn) and a successor state des- 
ignation (ZF). 

45 

25. Device according to at least one of Claims 23 or 

24, characterized in that the pointer (SBP) allo- 
cated to a particular state (Z) in each case points 
to the beginning of a group allocated to the same 

so state (Z) in the control list body (SR). 

26. Device according to at least one of Claims 21 to 

25, characterized in that an exception list (SA) is 
allocated t a control list (STL). 



55 



27. D vice according to Claim 26, characterized in 
that an exception list bl ck number (SAN) which 
directly or indirectly specifi s the memory I ca- 
ti n at which the exc ption list (SA) is st r d is 
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entered immediately after the control list h ader 
length (SKL) in the control list header (SK). 

28. Device according to at least one of Claims 26 or 5 
27, characterized in that the basic function des- 
ignations (Bn) of the basic functions (B) which 

can be executed at any time independently of the 
present protocol state are specified successively 
in the exception list (SA). 10 

29. Device according to at least one of the preceding 
Claims 21 to 28, characterized in that memory lo- 
cations for particular information items on the 
protocol development and/or on the data access 15 
control exist in the state memory area (ZS). 

30. Device according to Claim 29, characterized in 
that the state memory area (ZS) for the protocol 
development contains one memory location each 20 

, for the block numbers (STB) of the control list 
(STL) allocated to the present application, one 
basic function memory location (BZ) for the basic 
function designation (Bk) of the last basic func- 
tion (B) successfully executed and one protocol 25 
state memory location (Zi) for the protocol state 
(Z) following the last basic function (B) success- 
fully executed. — 

31. Device according to at least one of the preceding 30 
Claims 29 or 30, characterized in that the mem- 
ory locations for data access control existing in 

the state memory area (ZS) are divided into glo- 
bal and into application-related memory loca- 
tions. 35 

32. Device according to Claim 31, characterized in 
that one memory location each exists for the ap- 
plication-related storing of a PIN test (PIN) car- 
ried out for some mutually differing authenticity 40 
tests (AUTH1, AUTH2) carried out and a global 
memory location for storing a PIN test (GPIN) 
carried out 



Revendications 

1 . Precede pour eviter des hearts inadmissibles du 
protocole de deroulement d'une application, dans 
un systeme d'echanges de donnees, qui est so 
constitu6 au moins d'un terminal (T) et au moins 
d'un support de donnees (K) mobile et qui 
comporte au moins un processeur (P) et au 
moins un memoire (S) et qui p ut etr utile au 
moins pour une application, 55 

du type dans lequ I, au support d don- 
n6es (K) peuvent 6tre transmis s, & partir du ter- 
minal, des commandos de fonctionnement qui 
contiennent au moins un designation de fonc- 



tionnement de base (Bk) d'une fonction de base 
(B) qui doit etre execute comm directem ntsui- 
vante, caract6ris6 par les phases opdratoir s sui- 
vantes : 

a) on relie, pour exchange de donnees, le sup-, 
port de donnees (K) au terminal (T), ce par 
quoi une zone memoire d'etats (ZS) qui est 
pr6sente dans la memoire (S) du support de 
donnees est transferee dans un etat de base, 

b) le terminal (T) transmet au support de don- 
nees (K) une commando duplication qui d6- 
signe une application associee au terminal 
(T). 

c) le terminal (T) transmet au support de don- 
nees (K) une commando de fonctionnement, 

d) on compare, dans le support de donnees 
(K), cette designation de fonction de base (Bk) 
aux designations de fonction de base (Bn), qui 
sont memorisees dans la memoire (S) du sup- 
port de donnees (K) en ce qui concerne ('ap- 
plication designee auparavant et qui sont ad- 
mises dans le present etat de protocole fixe 
par un enregistrement dans la zone memoire 
d'etats (ZS), 

e) on execute dans le support de donnees (K) 
et uniquement dans le cas d'un r6sultat de 
comparaison positif, la fonction de base (B) 
associee d la designation de fonction de base 
(Bk) transmise au support de donnees (K), 

f) aprfes une execution couronn6e de succfes 
de la fonction de base, 

f1) on adapte au nouvel etat de protocole 
les donnees extraites dans la zone memoi- 
re d'etat (ZS), 

f2) on transmet un signal de reponse du 
support de donnees (K) au terminal (T), 

g) jusqu'a la fin du deroulement de ('applica- 
tion ou jusqu'd son interruption, on applique la 
fonction de base (B) directement suivante & 
executer, par le terminal (T) au support de 
donnees, apres la transmission d'un signal de 
reponse du support de donnees (K) au termi- 
nal (T), par Tintermediaire d'une commando 
de fonctionnement 

2. Precede suivant la revendication 1, caract6ris6 
en ce que, a. I'aide de la transmission de la 
commande d'application du terminal (D) au sup- 
port de donnees (K), on effectue une initialisation 
partielle de la zone de memoire d'etats (ZS). 

3. Proc6d6 suivant Tune au moins des revendica- 
tions pr6c6d ntes, caracterise n ce que la trans- 
mission d la commande d'application du termi- 
nal (T) au support d donne s(K)provoqu I' n- 
registr ment d'un num6ro de bloc (STB) dans la 
zone de m6moir d'etats (ZS) et en ce que ce nu- 
mero de bloc (STB) d6signe la place, dans la m6- 
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moire (S) du support de donnees (K), a laquelle 
sont extrait s les designations de foncti nne- 
ment de base (Bn) admissibles lors de I'applica- 
, tion designee par la commande d'application 
dans l'6tat de protocole (Z) respectivement pre- 
sent 

4. Procede suivant I'une au moins des revendica- 
tions pr6cedentes, caracterise en ce que Ton ne 
peut effectuer la transmission d'une information 
du terminal (T) au support de donnees (K) que 
lorsqu'auparavant un signal de reponse a 6t6 
transmis du support de donnees (K) au terminal 
(T). 

5. Proc6d6 suivant I'une au moins des revendica- 
tions prec6dentes, caracterise en ce qu'a I'aide 
de la transmission d'une commande d'application 
du terminal (T) au support de donnees (K), on . 
peut appeler, juste apres Tarret ou ('interruption 
d'une application active auparavant, une autre 
application. 

6. Proc6d6 suivant I'une au moins des revendica- 
tions 1 a 4, caracterise en ce que, lors de la trans- 
mission d'une commande d'application avant la 
fin d'une application, on derive au moins le conte- 
nu de la zone memoire d'etats (ZS) dans une me- 
moire auxiliaire, en ce qu'apres cela, on effectue 
I'initialisation par tied e de la zone memoire d'etats 
(ZS) eten ce qu'apres I'initialisation effectuee, on 
traite ('application introduce et designee par la 
commande d'application. 

7. Procede suivant la revendication 6, caracterise 
en ce qu'apres la fin de ('application introduce, on 
retransfert les donnees associees a I'application 
interrompue et denvee dans la memoire auxiliaire 
a nouveau dans leurs positions initiates de me- 
moire et en ce que le deroulementde I'application 
interrompue continue. 

8. Proc6d6 suivant I'une au moins des revendica- 
tions pr^cedentes, caracterise en ce que, en plus, 
pour la designation de lafonction de base (Bk), on 
transmet au support de donn6es (K) des parame- 
tres d'entree de fonction de base contenus dans 
la commande de fonction nement 

9. Procede suivant I'une au moins des revendica- 
tions 3 a 8, caracterise en ce qu'apres le maintien 
d'une commande de fonctionnement on contr6le 
si un numero d bloc (STB) st enregistree dans 
la zone d memoire d'etats (ZS). 

10. Procede suivant I'une au moins des r vendi- 
tions pr6c6dentes, caracterise n ce qu'on 
contrdle premier zone de memoire (S1) de la 



memoire (S), siun enregistrement, pour retat pro- 
tocole (Z) pres ntd I'application designe par la 
command d'application, est dans cette premiere 
5 zone de memoire (S1). 

11. Procede suivant la revendication 10, caracterise 
en ce que, dans le cas d'un maintien pour retat 
de protocole (Z) present, on compare les d6si- 

io ) gnations de fonctions de base (Bn) qui sont me- 
moris6es, concernant cet 6tat de protocole (Z), 
dans la premiere zone de memoire (St), a la de- 
signation de fonction transmise avec la comman- 
de de fonctionnement au support de donnees (K). 

15 

12. Procede suivant I'une au moins des revendica- 
tions 1 0 ou 11 , caracterise en ce que, dans le cas 
d'un maintien errone pour retat de protocole (Z) 
present, ou dans le cas d'un desaccord entre la 

20 designation de fonction de base transmise et la 
designation de fonction de base memorisee 
(Bk,Bn), on contrdle, dans la premiere zone de 
memoire (S1) et dans une deuxieme zone de me- 
moire (S2) de la memoire (S), si la designation de 

25 fonction de base (Bk) transmise au support de 
donnees (K) est enregistree dans cette deuxieme 
zone de memoire (S2) en ce qui concerne I'appli- 
- cation designee par la commande d'application, 
et en fonction de retat de protocole (Z) present 

30 

13. Procede suivant i'une au moins des revendi ca- 
tions 10 a 12, caracterise en ce que, dans le cas 
d'un maintien errone pour retat de protocole pre- 
sent (Z) ou dans le cas d'un desaccord entre la 

35 designation de fonction de base transmise et de 
la designation de fonction de base memorisee 
(Bk,Bn), on contrdle non seulement dans la pre- 
miere zone de memoire (S1) v mais 6galement 
dans la deuxieme zone de memoire (S2) si la d6- 

40 signatiqn de fonction de base (Bk) transmise est 
la designation de fonction de base (BC) de la 
fonction de base suivante (B). 

14. Procede suivant I'une au moins des revendica- 
45 tions precedentes, caracterise en ce qu'apres 

{'execution avec succes d'une fonction de base 
(B), on enregistre la designation de cette fonction 
de base (B) dans une place de memoire de fonc- 
tions de base (BZ) de la zone memoire d'etats 
50 (ZS). 

15. Procede suivant I'une au moins des revendica- 
tions 10 a 14, caracterise en ce que, lors du de- 
saccord de la designation d f notion de base 

55 (BK) transmis au support de d nn6 s (K) avec 

I maintien correspondant dans la memoire (S), 
on compar c tte designation de fonction de 
bas (BK) transmise a la designation, notee dans 
ta place de memoire d fonctions de base (BZ) de 
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la zone m6motre d'etats (ZS), de la fonction d 
base (B) x6cut6 avec succes en pr mier lieu. 

16. Proc6d6 suivant Tune au moins d s revendica- 
tions pr6c6dentes, caracterise en ce que pour 
une execution de fonction de base, on contrele, 
dans le support de donn6es (K), des droits d'ac- 
ces aux donn6es qui sont eventuellement n6ces- 
saires et qui sont extra its dans la zone de m§moi- 
re d'etats (ZS). 

17. Proc6d6 suivant Tune au moins des revendica- 
tions 10 a 16, caract6ris6 en ce que I'on e n regis- 
tre a la place de memo ire d'etats de protocol e (Zi) 
de la zone de memoire d'etats (ZS), apres I'ex6- 
cution avec succes de cette fonction de base (B) 
associ6e a la designation de fonction de base 
(Bn) m6moris6e, une designation (ZF) d'etats 
successifs extra ite dans la premiere zone de m6- 

, moire (S1) en liaison avec une designation de 
fonction de base (Bn) m6moris6e. 

18. Proc6d6 suivant I'une au moins des revendica- 
tions prec6dentes, caract6ris6 en ce qu'apres 
('execution de fonction de base couronn6e de 
succes, on enregistre, dans la zone m6moire 
d'etats (ZS), pour I'adaptation a un nouvel etat de 
protocole (Z), des informations pour le deYoule- 
ment du protocole et/ou pour le contrdle de I'ac- 
ces des donn6es. 

19. Precede suivant ia revendication 18, caracterise 
en ce que I'on s6pare les informations pour le 
contrfile d'acces des donn6es, et on les enregis- 
tre dans la zone de memoire d'etats (ZS), apres 
des donnees globales et orientees vers Implica- 
tion. 

20. Proc6d6 suivant Tune au moins des revendica- 
tions pr6c6dentes, caracterise en ce que, lorsque 
le r§sultat de la com para ison est n6gatrf, on trans- 
met un message d'erreur s6lectif, du support de 
donnSes (K) au terminal (T). 

21. Dispositif pour la mise en oeuvre du proc6d6 sui- 
vant Tune au moins des revendications 1 a 20, 
dans lequel la m6moire (S) estsubdivis6e en une 
memoire de donn6es (EEPROM) contenant des 
donn6es d 'utility publique et orientees vers Tap- 
plication, en une memoire de travail (RAM) ser- 
vant 6galement une interface entree/sortie (I/O) 
et en une m6moire de masques (ROM) compor- 
tant un systeme de travail (BTS) et plusieurs f no- 
tions d base (B), caracterise n ce que la m6- 
moire de donn6 s (EEPROM) comporte, pour 
chaque utilisation possible, un liste d comman- 
d (STL) com porta nt I s d6roulements de proto- 
cole admissibles, et nc que la memoire d'6tats 



(ZS) cont nant les 6tats de protocole respectifs 
(Z) est comprise dans la m6moir de travail 
(RAM). 

5 

22. Dispositif suivant ia revendication 21 , caracterise. 
en ce que la liste de commande (STL) est divis6e 
en une en-tete de liste de commande (SK) et en 
un corps de tiste de commande (SR). 

10 

23. Dispositif suivant la revendication 22, caracterise 
en ce que, dans I'en-tete de liste de commande 
(SK) sont m6moris6es Iin6airement les unes 
apres les autres les longueurs (SKL) d'en-tete de 

15 tiste de commande, et pour chaque etat (Z) pos- 

sible lors de ('application, a partir du premier etat 
(Z1), un couple de donnees qui est constitue 
d'une information indiquant le nombre de fonc- 
tions de base (SBA) susceptibles d'etre ex6cu- 

20 tees lors de retat (Z) respectif, et d'un pointeur 
(SBP) indiquant une position memoire dans fe 
corps de liste de commande (SR). 

24. Dispositif suivant Tune au moins des revendica- 
25 tions 22 ou 23, caracterise en ce que le corps de 

liste de commande (SR) est constitue d'au moins 
un groupe associe a un etat (Z) et constitue d'au 
moins un n-upletde donn6es, et que les n-uplets 
de donn§es sont constitu6s respectivement 
30 d'une designation de fonction de base (Bn) m6- 

morisee et d'une designation d'etat (ZF) consecu- 
tif. 

25. Dispositif suivant I'une au moins des revendica- 
35 tions 23 ou 24, caracterise en ce que le pointeur 

(SBP) associe a un etat determine (Z) pointe, 
dans le corps de liste de commande (SR), sur le 
debut d'un groupe associd au mdme etat (Z). 

40 26. Dispositif suivant t'une au moins des revendica- 
tions 21 a 25, caracterise en ce qu'a la liste de 
commande (STL) est associee une liste de recep- 
tion (SA). 

45 27. Dispositif suivant la revendication 26, caracterise 
en ce que, dans I'en-t&te de liste de commande 
(SK), est introduit, directement apres la longueur 
de I'entete de liste de commande (SKL), un nu- 
m6ro de bloc (SAN) de liste de reception, qui in- 

50 dique directement ou indirectement la place de la 
memoire a laquelle est m6moris£e la liste de re- 
ception (SA). 

28. Dispositif suivant I'une au m ins d s r vendica- 
55 tions 26 ou 27, caracterise en ce que, dans la list 
de reception (SA), s nt indiqu6es successive- 
ment les designati ns de fonctions de base (Bn) 
des foncti ns de base (B) qui s nt susceptibles 
d'§tr env y6es a chaqu instant independam- 
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ment d I'etat de protocol e present 

29. Dispositif suivant Tune au moins des r v ndica- 
tions 21 a 28, caracterise n ce qu'il st prevu, 
dans la zone de memoire d'etats (ZS), des places 
de memoire pour des informations determinees, 
pour le deroulement du protocole et/ou pour le 
contrdle d'acces des donnees. 



10 



30. Dispositif suivant la revendication 29, caracterise 
en ce que, dans la zone de memoire d'etats (ZS) 
pour le deroulement du protocole, sont prevues 
une place memoire pour le numero de bloc (STB) 

de la liste de comma nde (STL) associee a I'utili- 15 
sation presente, une place memoire (BZ) de fonc- 
tions de base pour la designation de fonctions de 
base (Bk) de la fonction de base (B) executee en 
dernier lieu avec succes et une place memoire 
(Zi) d'etats de protocole pour I'etat de protocole 20 
apres la fonction de base (B) executee avec suc- 
ces en dernier lieu. 

31. Dispositif suivant Tune au moins des revendica- 
tions 29 ou 30, caracterise en ce que les places 25 
memoires presentes dans la zone memoire 
d'etats (ZS) sont subdivisees, pour le contrdle 
d'acces- de- donnees, en des places memoires 
global es et en des places memoires concernant 
('application. 30 

32. Dispositif suivant la revendication 31 , caracterise 
en ce qu'il est prevu une place memoire pour la 
memorisation, concernant I'application, d'un test 

PIN effectu<§ (PIN), pour des tests particuliers 35 
d'authenticite (AUTH1, AUTH2) et executes de 
maniere d iff 6 rente les uns par rapport aux autres, 
et une place memoire globale pour la memorisa- 
tion d'un test PIN effectue (GPIN). 

40 
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